Backup para Empresas – Práticas e Normas ABNT NBR ISO/IEC 27002

A segurança é uma das principais preocupações de uma empresa, e não poderia ser diferente no meio digital. Todos os dias, toneladas de dados são enviados e recebidos; por isso, é necessário que as cópias de segurança tenham atenção redobrada no dia a dia.

Para auxiliar e assegurar a qualidade desses backups e de outros processos, foi criada a norma técnica ABNT NBR ISO/IEC 27002: Regulamentação de Backup (Antiga IEC 17799), norma voltada à segurança da informação e que dá as diretrizes necessárias para a proteção de dados e informações de sistemas empresariais, de pequeno a grande porte.

Vamos conhecer os principais pontos nos quais ela consiste e ver o que pode ser feito para regulamentar as cópias de segurança do seu negócio.

Escolha do nível de backup

Existem algumas formas diferentes de se fazer backups (os chamados níveis). Escolher qual usar depende de certos fatores, como a importância e a criticidade dos dados e a periodicidade em que são inseridas novas informações. Eles devem ser feitos em um disco local, em uma mídia removível e remotamente, como na computação em nuvem, por exemplo.

Neste último caso, é preciso que tal localidade seja distante de onde os dados estão e esteja bem documentada, auxiliando na recuperação do sistema em casos de desastres. A ISO/IEC 27002 recomenda que cópias desse porte “abranjam todos os sistemas de informação”, para um restabelecimento completo em pouco tempo, assegurando a continuidade dos negócios ao ser feito em conjunto com um bom planejamento.

Testes indicados pela ISO/IEC 27002

As diretrizes são claras quanto à importância de fazer testes constantes em todos os procedimentos da segurança da informação. Os processos de recuperação precisam ser verificados constantemente para assegurar o seu funcionamento pleno no momento de necessidade, assim como a integridade física das mídias, no caso da escolha desse nível de backup. Automatizar a geração de backups é altamente recomendado — até pela diminuição de falhas humanas —, mas esses sistemas também precisam ser examinados continuamente.

Instruções para documentação, retenção e extensão

Para que a localização dos dados, em momentos de necessidade, torne-se mais ágil, a ISO/IEC27002 recomenda um registro completo dos backups efetuados, assim como a documentação dos processos para recuperação e uso dessas cópias. Como elas podem ser usadas em diferentes situações, é bom ter instruções bem definidas para cada um desses cenários.

Sobre o período de retenção, a norma diz que ele deve ser definido de acordo com a necessidade de cada empresa; tais instruções também valem no âmbito da frequência em que os backups devem ser feitos e na extensão deles (se serão completos ou diferenciais — contendo apenas os dados modificados após a criação do completo). Deve-se sempre analisar a importância de cada informação na conjuntura total do seu negócio.

Ferramentas de proteção de dados

Recomenda-se também a criptografia das cópias de segurança em casos nos quais a confidencialidade for necessária; assim, mantém-se o sigilo dos dados e protege-os de uma exposição indevida.

A proteção física e ambiental também é uma forma de preservar a integridade dos backups, segundo a ISO/IEC 27002: mesmo em acesso local ou remoto, é necessário que eles fiquem resguardados de pessoal não autorizado e prejudiciais agentes naturais, como calor, poeira e umidade.

Essas e outras recomendações contidas na norma devem ser sempre seguidas para garantir a segurança dos dados da sua empresa e, consequentemente, a qualidade dos seus serviços.

Tem alguma dúvida sobre Backup para Empresas – Práticas e Normas ABNT NBR ISO/IEC 27002? Deixe sua pergunta nos comentários, para que possamos esclarecê-la e ajudá-lo a resolver suas questões sobre segurança da informação.

 

  • Claudio Bernardo

    Vc tem certeza do que está falando??? Norma de Backup??? É bom revisar este artigo… A ISO 27002 é o ‘Código de prática para controles de segurança da informação’ e vai muito além de falar somente sobre Backup… Ela não foi criada para falar somente de backup….

    • Vinicius Durbano

      Olá Claudio. Bom dia!

      Exatamente, conforme o segundo parágrafo deste artigo, a ISO 27002 é uma “norma voltada à segurança da informação e que dá as diretrizes necessárias para a proteção de dados e informações de sistemas empresariais, de pequeno a grande porte.” e que obviamente não é só sobre backup.
      Neste artigo estamos dando ênfase para uma parte importante da ISO 27002 que fala sobre a “Regulamentação de Backup”.

      Obrigado pelo comentário e participação.

      Abraço!

      Vinicius Durbano

  • charles

    muito bom, parabens

    • Vinicius Durbano

      Obrigado, Charles.


Compartilhe com um amigo!